ГОСТ Р ИСО/МЭК 27003—2012
информации при необходимости. Подробное описание подходов, применяемых для оценки и обработки
рисков, можно найти в политике СМИБ.
2) Весь персонал должен быть осведомлен и подотчетен за информационную безопасность в отношении
своих должностных обязанностей.
3) Необходимо принять меры для финансирования средств управления информационной безопасностью
и процессов управления проектами.
4) Возможности мошенничества и злоупотреблений в области информационных систем должны быть при
няты в расчет при общем управлении информационными системами.
5) Отчеты о состоянии информационной безопасности должны быть доступны.
6) Необходимо отслеживать риски для информационной безопасности и предпринимать действия, когда
изменения приводят к возникновению непредвиденных рисков.
7) Критерии классификации рисков и приемлемости рисков можно найти в политике СМИБ.
8) Ситуации, которые могут привести организацию к нарушению законов и установленных норхт, не должны
допускаться.
Сферы ответственности
1) Группа руководителей высшего звена отвечает за обеспечение соответствующей проработки информа
ции во всей организации.
2) Каждый руководитель высшего звена отвечает за то. чтобы сотрудники, работающие под его руковод
ством. осуществляли защиту информации в соответствии со стандартами организации.
3) Начальник отдела безопасности консультирует группу руководителей высшего звена, оказывает эксперт
ную помощь сотрудникам организации и обеспечивает доступность отчетов о состоянии информационной безо
пасности.
4) Каждый сотрудник организации отвечает за информационную безопасность как часть выполнения своих
должностных обязанностей.
Ключевые результаты
1) Инциденты информационной безопасности не должны приводить к серьезным непредвиденным затра
там или серьезным срывам работы служб и деятельности предприятия.
2) Потери из-за мошенничества должны быть известны и находиться в рамках приемлемых ограничений.
3) Вопросы информационной безопасности не должны оказывать неблагоприятного влияния на прием
заказчиками продукции и услуг.
Связанные политики
Следующие детальные политики содержат принципы и рекомендации по отдельным аспектам информа
ционной безопасности:
1) Политика системы менеджмента информационной безопасности (СМИБ):
2) Политика контроля доступа:
3) Политика «чистого стола» и «чистого экрана»;
4) Политика неразрешенного программного обеспечения;
5) Политика, касающаяся получения файлов программного обеспечения из внешних сетей или через них,
6) Политика, касающаяся мобильного кода;
7) Политика резервного копирования;
8) Политика, касающаяся обмена информацией между организациями;
9) Политика, касающаяся допустимого использования электронных средств связи;
10) Политика сохранения записей:
11) Политика использования сетевых служб;
12) Политика, касающаяся мобильных вычислений и связи;
13) Политика дистанционной работы;
14) Политика использования криптографического контроля;
15) Политика соответствия:
16) Политика лицензирования программного обеспечения;
17) Политика удаления программного обеспечения;
18) Политика защиты и секретности данных.
Все эти политики подкрепляют:
- идентификацию риска путем предоставления основы средств управления, которые могут использоваться
для обнаружения недостатков в проектировании и внедрении систем:
- обработку риска путем оказания помощи в определении способов обработки для определенных уязвимо
стей и угроз.
Идентификация риска и обработка риска — это процессы, определенные в разделе политики «Принципы».
Подробности см. в политике СМИБ.
47